19 февраля 2017 г.

IX Уральский форум. День третий.







й   день

Во время дискуссии “Повышение культуры кибербезопасности” Сергей Лебедь, руководитель службы кибербезопасности ПАО Сбербанк, поделился безутешным выводом после учебной проверки сотрудников на реагирование в случае фишинговых (поддельных) писем: “Если в заголовке сообщения в адрес работников Сбербанка будет стоять “Герман Греф”, то, к сожалению, откроют поддельное письмо 80% из адресной рассылки”.
Из забавного, Андрей Акинин, генеральный директор Web Control, порадовал слушателей, новостью о своей, недавно опубликованной “очень хорошей статье” (почему то сразу вспомнилась шутка: написал статью и расплакался - я так классно пишу!). И выдал очередной афоризм в зал (после “не позволять хорошим людям делать плохие вещи”): “специалист службы ИБ - это шериф, а не полицейский” (я тут же попробовал перенести удачное сравнение на нашу российскую почву, получилось, прямо скажем, не очень: “специалист службы ИБ – это участковый, а не ГИБДД-шник”.
С большим интересом ожидалась слушателями сессия “Возможности для атаки и практика защиты финансовых организаций”. И, забегая вперёд, эти ожидания оправдались.
Илья Медведовский, генеральный директор Диджитал Секьюрити, поделился интересными размышлениями на тему “Блеск и нищета пентеста в режиме Red Team, или “Не нужна тебе, Вовка, такая машина”. Вот краткое изложение тезисов:
-не надо заниматься излишней мифологизацией или демонизацией хакеров;
-заказчики, как правило, не уделяют должного внимания тем ограничениям, которые необходимо предусмотреть при тестировании средств защиты в режиме Red Team. Необходимо помнить об аккуратности в случае привлечения Red Team. Так как, например, история с фишингом может выйти из под контроля организации;
-возможности, задачи и приёмы злоумышленников и Red Team несравнимы и несопоставимы;
-злоумышленники не будут особо заморачиваться, а выберут наиболее простой путь для взлома;
-пентест – поиск уязвимостей и несчастных случаев не бывает, в случае Red Team несчастные случаи (непредсказуемые последствия) могут иметь место. Поэтому надо рассматривать Red Team как дополнительный  элемент, не имеющий отношения к пентесту, предназначенный для организации с уже выстроенной серьёзной защитой, для целей контроля средств защиты и проверки их эффективности.
Живо и познавательно прошла сессия “Аутсорсинг в ИБ...”
Слайд А.Прозорова
Тема “Аутсорсинг в ИБ” получила продолжение в виде оживлённой дискуссии на вечернем воркшопе, организованным компанией “Angara”, под названием “Информационная безопасность в среднем и малом банке”.
На воркшопе присутствовали поставщики решений ИБ, а также представители 19-ти кредитных организаций. ИБ-шники из средних и малых банков продемонстрировали, что за пределами списка банков ТОП-30 тоже есть какая-никакая жизнь в ИБ, а финансовая отрасль на темы информационной безопасности может разговаривать не только голосом Сбербанка, ВТБ или Банка Открытие.
Из дискуссии для себя выделил а) общую проблему бюджетов на ИБ в малых и средних банках; б) проблему донесения существующих киберугроз до первых лиц банка и важности осознания в этой связи роли ИБ в компании; в) аутсорсинг, в общем-то, используется в банках повсеместно: это и сторонние процессинговые центры, и физическая охрана и инкассация, и обучение сотрудников, и предоставление юридических услуг клиентам и сотрудникам банка сторонней компанией.
Самые востребованные услуги по аутсорсингу ИБ по итогам голосования среди представителей банков распределились следующим образом: 1. мониторинг событий ИБ; 2. анализ защищённости; 3. анализ кода; 4. защита от DDoS.
P.S. "Не тигр" – “уничтожительное” выражение, используемое Р. Хайретдиновым при желании усилить сравнение в пользу другого выражения, например, “вожак-волк, пастух - не овца” (из энциклопедии Уральского форума).

Продолжение следует...

Комментариев нет:

Отправить комментарий